介绍如何启用 Microsoft 安全 Copilot

  • 5 分钟

若要开始使用 Microsoft 安全 Copilot,组织需要采取一系列步骤来加入该服务并让用户开始使用。 这些包括:

  1. 确定客户类别
  2. 配置 Copilot 容量(如果需要)
  3. 设置默认环境
  4. 分配角色权限

确定客户类别

入职体验取决于您的许可证状态:

  • Microsoft 365 E5 和 E7 客户 - Security Copilot包含在Microsoft 365 E5和 E7 许可证中。 Microsoft通过零点激活自动为符合条件的租户预配和载入Security Copilot,因此无需Azure设置或手动容量预配。 客户在激活前收到 7 天提前通知。 预配完成后,Security Copilot即可使用。
  • Non-Microsoft 365 E5 和 E7 客户 - 如果许可证中不包含Security Copilot,则必须按照手动载入步骤来预配安全计算单元(SCU)以使用Security Copilot。

预配容量

对于非 Microsoft 365 E5 和 E7 的客户,Security Copilot 基于预配置容量和超额模式进行运作。 预配容量按小时计费,而超额容量按使用量计费。

可以灵活预配安全计算单元 (SCU) 以适应常规工作负荷,并随时进行调整,而无需长期承诺。 SCU 是计算能力度量单位,用于在独立体验和嵌入式体验中运行 Copilot。

若要管理意外的需求高峰,可以分配超额金额,以确保在意外的工作负荷高峰期间,初始预配单位耗尽时,其他 SCU 可用。 超额单位是按需计费的,可以设置为无限制或最大金额。 此方法可实现可预测的计费,同时提供处理常规和意外使用情况的灵活性。 有关管理安全计算单元使用情况和安全 Copilot 定价的信息,请参阅本模块的摘要和资源部分。

在用户开始使用 Copilot 之前,管理员需要预配和分配容量。 要预配容量:

  • 必须具有 Azure 订阅。

  • 你需要至少是资源组级别的 Azure 所有者或 Azure 参与者。

  • 你需要是正在将 Security Copilot 加入的租户中的安全管理员或更高级别的角色。

    请记住,全局Microsoft Entra 管理员角色不一定默认具有 Azure 所有者或 Azure 参与者角色。 Microsoft Entra 角色分配不授予对 Azure 资源的访问权限。 作为全局Microsoft Entra 管理员,可以通过 Azure 门户为 Azure 资源启用访问管理。 有关详细信息,请参阅提升访问权限以管理所有 Azure 订阅和管理组。 启用 Azure 资源的访问管理后,可以配置相应的 Azure 角色。

预配容量有两个选项:

  • 在Security Copilot(建议)中预配容量 - 首次以管理员身份打开Security Copilot时,向导将指导你完成设置容量的步骤,包括创建工作区。 向导会提示你输入工作区名称、Azure订阅、资源组、区域、容量名称和 SCU 数量等信息。
  • 通过 Azure 预配容量 - 现在,Azure 门户提供 Security Copilot 作为一项服务。 选择服务,打开输入信息的页面,包括 Azure 订阅、资源组、区域、容量名称和 SCU 数量。

注意

无论选择哪种方法,都需要至少购买一个和最多 100 个 SCU。 建议进行 Security Copilot 初步探索的设备数量为三个,并且超额使用设置为无限。

无论选择哪种预配容量的方法,该过程都会在 Azure 订阅中获取信息并为 智能 Microsoft Security Copilot 副驾驶® 服务建立资源组。 SCU 是该资源组中的 Azure 资源。 部署 Azure 资源可能需要几分钟时间。

管理员完成加入 Copilot 的步骤后,他们就可以在 Azure 门户内或通过 智能 Microsoft Security Copilot 副驾驶® 产品本身增加或减少预配的 SCU 来管理容量。

Security Copilot 为容量所有者提供使用情况监视仪表板,允许他们跟踪一段时间内的使用情况,并做出有关容量预配的明智决策。 使用情况监视仪表板可查看所选工作区的单位数、会话期间使用的特定插件以及这些会话的发起方。 仪表板还允许应用筛选器和无缝导出使用情况数据。 仪表板包含最多 90 天的数据。

显示使用情况监视仪表板的屏幕截图。

设置默认环境

若要设置默认环境,至少需要具有安全管理员角色。

在设置安全 Copilot 期间,系统会提示配置设置。 这些包括:

  • SCU 容量 - 选择以前预配的 SCU 容量。 每个工作区必须有自己的容量。

  • 数据存储 - 当组织加入 Copilot 时,可用设置之一决定了客户数据的存储位置。 数据存储位置的配置适用于工作区级别。 Microsoft 安全 Copilot 在欧盟 (EUDB)、英国、美国、澳大利亚、新西兰、日本、加拿大和南美洲的 Microsoft Azure 数据中心运行。

  • 确定提示的评估位置 - 可以将评估限制在你所在的地理位置内,也可以在世界任何地方进行评估。

  • 在 Microsoft Purview 中记录审核数据 - 作为初始设置的一部分,并在独立体验的“所有者”设置下列出,你可以选择允许 Microsoft Purview 处理和存储管理员操作、用户操作和 Copilot 响应。 这包括来自任何 Microsoft 和非 Microsoft 集成的数据。 如果选择加入并且已使用 Microsoft Purview,则无需执行进一步操作。 如果选择加入但尚未使用 Purview,则需要按照 Microsoft Purview 指南设置有限的体验。 此配置适用于租户中的所有工作区。

    显示如何配置审核日志的设置的屏幕截图。

  • 组织的数据 - 管理员还必须选择加入或选择退出数据共享选项。 这些选项是初始设置的一部分,也列在独立体验中的“所有者”设置下,并且可以为每个工作区配置。 将下列选项中的任意开关打开或关闭:

    • 允许 Microsoft 从安全 Copilot 捕获数据,以通过人工评审验证产品性能:启用后,客户数据将与 Microsoft 共享以改进产品。 系统会评估提示和响应,以了解是否选择了正确的插件,是否输出符合预期,以及如何改进响应、延迟和输出格式。

    • 允许 Microsoft 从 Security Copilot 捕获数据并进行人工评审,以生成和验证 Microsoft 的安全 AI 模型:启用后,客户数据将与 Microsoft 共享以改进 Copilot AI。 选择加入并不意味着允许 Microsoft 使用客户数据来训练基础模型。 对提示和响应进行评估以增强响应并确保它们是你所期望的且对你有用的。

      若要详细了解 Microsoft 如何处理数据,请参阅数据安全和隐私

      显示如何配置数据共享以帮助改进 Copilot 的设置的屏幕截图。

  • 插件设置 - 管理员管理插件并配置是否允许 Security Copilot 访问 Microsoft 365 服务中的数据。 这些设置按工作区进行配置。

    • 配置谁可以添加和管理自己的自定义插件,以及谁可以为组织中的每个人添加和管理自定义插件。

    • 管理插件可用性并限制访问。 启用后,管理员决定组织中每个人可以使用哪些新插件和现有插件,这些插件将仅限于所有者。

    • 允许安全 Copilot 访问 Microsoft 365 服务中的数据。 如果此选项已禁用,组织将无法使用访问 Microsoft 365 服务的插件。 目前,使用 Microsoft Purview 插件需要此选项。 设置和/或更改此设置需要具有 Copilot 所有者角色或全局Microsoft Entra 管理员角色的用户。

      显示插件设置和允许 Security Copilot 从 Microsoft 365 服务访问数据的设置的屏幕截图。

角色权限

为了确保用户可以访问 Copilot 的功能,他们需要具有适当的角色权限。 每个工作区配置角色权限。

可以使用Microsoft Entra或Microsoft Purview角色或Security Copilot角色分配权限。 最佳做法是提供适用于每个用户的最低特权角色。

Security Copilot 引入了两个角色,其功能类似于访问组,但不是 Microsoft Entra ID 角色。 相反,它们仅控制对 Security Copilot 平台功能的访问,而本身不提供对安全数据的访问权限。

智能 Microsoft Security Copilot 副驾驶® 的角色为:

  • Copilot 所有者
  • Copilot 贡献者

以下 Microsoft Entra 和 Microsoft Purview 角色会自动继承 Copilot 所有者 访问权限,确保 Security Copilot 始终至少有两个所有者:

Microsoft Entra角色:

  • 计费管理员
  • 微软 Entra 合规管理员
  • 全局管理员
  • Intune 管理员
  • 安全管理员

Microsoft Purview角色:

  • Purview 合规性管理员
  • Purview 数据管理管理员
  • Purview 组织管理

显示角色分配设置的屏幕截图。

只有具有全局管理员、安全管理员或 Copilot 所有者角色的用户,才能通过向所有者和参与者角色中添加或删除成员的方式,在 Copilot 中分配角色。

作为具有参与者角色的成员,管理员/所有者可以纳入的一个组是建议的 Microsoft 安全角色组。 此组仅存在于 Security Copilot 中,是一个由现有 Microsoft Entra 角色组成的集合。 将此组添加为“参与者”角色的成员后,作为推荐的 Microsoft 安全角色组中包含的 Microsoft Entra ID 角色成员的所有用户都将获得访问 Copilot 平台的权限。 此选项提供了一种快速、安全的方法让组织中的用户访问 Copilot 平台,这些用户目前可以通过 Microsoft 插件访问 Copilot 使用的安全数据。

有关为每个角色授予的权限的详细列表,请参阅了解 智能 Microsoft Security Copilot 副驾驶® 中的身份验证中的“分配角色”部分。

Copilot 插件和角色要求

角色将控制你有权访问哪些活动,例如配置设置、分配权限或执行任务。 Copilot 不会超出你拥有的访问权限。 此外,单个Microsoft插件对访问服务及其表示的数据可能有其自己的角色要求。 例如,已获分配安全操作员角色或 Copilot 工作区参与者角色的分析师能够访问 Copilot 门户和创建会话,但若要利用 Microsoft Sentinel 插件,则需要具有适当的角色,例如 Microsoft Sentinel 读取者,才能访问工作区中的事件。 若要使用 Microsoft Intune 插件访问设备、权限和策略,该分析师需要另一个特定于服务的角色,例如 Intune 终端安全管理员角色。

一般来说,Copilot 中的 Microsoft 插件使用 OBO(代表)模型 – 这意味着 Copilot 知道客户拥有特定产品的许可证,并且会自动登录到这些产品。 然后,启用插件并配置参数(如果适用)后,Copilot 就可以访问特定产品。 某些需要设置的Microsoft插件可能包括用于替代 OBO 模型的身份验证的可配置参数。

可在每个工作区中启用和配置单个插件。